KVKK Cezaları ve Tedbirleri Nelerdir?

Kişisel veriler, KVKK çerçevesinde işlenmediği takdirde idari para cezaları ve hapis cezaları gündeme gelir. KVKK, kamu kurum ve kuruluşları ile özel sektör ayrımı yapmadan bütün tüzel kişileri kapsadığından tüm şirketlerin gerekli tedbirleri alması gerekir. Gelin bugün de KVKK cezaları ve bu cezalar ile karşılaşmamak için alınabilecek KVKK tedbirlerini birlikte keşfedelim.

KVKK cezaları nelerdir?

Milyonlarca TL’ye ulaşan KVKK ceza kararları kamuoyunda sıklıkla gündeme gelir. Kişisel Verileri Koruma Kanunu’na uyulmaması durumunda şirketlerin karşılaşabileceği cezalar, idari para cezaları ve hapis cezaları olarak ikiye ayrılabilir. İdari para cezaları KVKK’nın 18. maddesinde belirlenir ve yıldan yıla değişir. Kişisel verilere ilişkin suçlar, Türk Ceza Kanunu’nun “Özel Hayata ve Hayatın Gizli Alanına İlişkin Suçlar” bölümünde 135.-140. maddeler arasında ele alınır ve yaptırımları hapis cezaları şeklindedir.

2020 Yılı KVKK İdari Para Cezaları Nelerdir?

KVKK’ya aykırı eylemler, şikayet üzerine KVKK kurulu tarafından kabahatler hukuku bakımından değerlendirilir. 2020 yılı için KVKK’nın 18. maddesine göre kesilecek idari para cezaları şu şekildedir:

• Aydınlatma yükümlülüğünün yerine getirilmemesi durumunda 9.013 TL - 180.264 TL,
• Veri güvenliğine ilişkin hükümlerin yerine getirilmemesi durumunda 27.040 TL - 1.802.636 TL,
• Kurul tarafından verilen kararların yerine getirilmemesi durumunda 45.066 TL - 1.802.636 TL,
• VERBİS kayıt ve bildirim yükümlülüğüne aykırı hareket edilmesi durumunda ise 36.053 TL - 1.802.636 TL arasında idari para cezası kesilebilir.

Öngörülen KVKK idari para cezaları veri sorumlusu olan gerçek kişiler ile tüzel kişiler hakkında uygulanabilir.

KVKK’ya Göre Türk Ceza Kanununda Öngörülen Cezalar Nelerdir?

Kişisel verilerin korunması, özel hayatın gizliliği kapsamındaki temel haklar arasındadır ve Anayasa ile güvence altına alınır. TCK’da kişisel verilere ilişkin suçların yaptırımları şu şekildedir:

• Hukuka aykırı olarak kişisel verileri kaydedilmesi durumunda bir yıldan üç yıla kadar hapis cezası verilebilir. (TCK Madde 135/1)
• Kişisel verinin, kişilerin siyasi, felsefi veya dini görüşlerine, ırki kökenlerine; hukuka aykırı olarak ahlaki eğilimlerine, cinsel yaşamlarına, sağlık durumlarına veya sendikal bağlantılarına ilişkin olması durumunda birinci fıkra uyarınca verilecek ceza yarı oranında artırılır. (TCK Madde 135/2)
• Kişisel verileri, hukuka aykırı olarak bir başkasına veren, yayan veya ele geçiren kişi, iki yıldan dört yıla kadar hapis cezası ile cezalandırılır. (TCK 136/1)
• Yukarıdaki maddelerde tanımlanan suçların kamu görevlisi tarafından ve görevinin verdiği yetki kötüye kullanılmak suretiyle ya da belli bir meslek ve sanatın sağladığı kolaylıktan yararlanmak suretiyle işlenmesi halinde, verilecek ceza yarı oranında artırılır. (TCK 137/1)
• Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanlara görevlerini yerine getirmediklerinde bir yıldan iki yıla kadar hapis cezası verilir. (TCK 138/1)
• Suçun konusunun Ceza Muhakemesi Kanunu hükümlerine göre ortadan kaldırılması veya yok edilmesi gereken veri olması hâlinde verilecek ceza bir kat artırılır. (TCK 138/2)

KVKK Tedbirleri Ne Olmalıdır?

KVKK cezaları hem maddi anlamda hem de şirketlerin itibarını olumsuz etkileme gücüne sahip olduklarından oldukça caydırıcıdır. Küçük, orta ya da büyük ölçekli fark etmeksizin tüm işletmelerin beklenmedik bir KVKK cezası ile karşılaşmamak için gerekli tedbirleri almaları oldukça önemlidir. Şirketlerin KVKK cezaları ile karşılaşmamak için alması gereken tedbirler, idari tedbirler ve teknik tedbirler olarak ikiye ayrılabilir.

İdari Tedbirler

KVKK kapsamında alınması gereken başlıca idari tedbirler şu şekilde sıralanabilir: 

• Veri sorumlusu belirlenmesi ve VERBİS kaydı oluşturulması,
• Mevcut durum tespiti, risklerin belirlenmesi,
• Var olan verilerin mevzuata uygunluk açısından değerlendirilmesi, amaç dışı toplanan verilerin silinmesi,
• Şirket içi KVKK eğitimi ve farkındalık çalışmalarını yapılması,
• Kişisel veri korunmasına dair politika belirlenmesi ve rehber oluşturulması,
• Aydınlatma yükümlülüğünün yerine getirilmesi ve yeni toplanacak kişisel veriler için ilgili kişilerden açık rıza alınması.

Teknik Tedbirler

İdari tedbirlere harfiyen uyulsa dahi siber güvenlik açıkları, şirketlerin KVKK cezaları ile karşılaşmasına neden olabilir. Teknik tedbirler kapsamında gerekli yazılım ve donanım ürünleriyle kişisel veri güvenliği sağlanmalı, takip edilmelidir. Ayrıca kişisel verilerin bulunduğu ortamların güvenliği de yüksek öneme sahiptir. Tüm bunlara ek olarak veri güvenliğine dair riski azaltmak ve veri ihlallerinin önüne geçmek için veri erişim yönetimi konusundaki süreçleri de titizlikle planlamak gerekir. Privileged Access Management (PAM) yani Ayrıcalıklı Erişim Yönetimi, veri ve erişim güvenliği konusundaki en önemli çözümlerden biridir. Dünyanın sayılı Ayrıcalıklı Erişim Yönetimi platformlarından biri olan Single Connect ile kişisel verilere erişim konusunda üst düzey güvenlik sağlayabilir, güvenlik politikanızı güçlendiren benzersiz özellikleriyla tanışmak için bizimle iletişime geçebilirsiniz.